어드민플레이 - Linux Security Q&A - Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항

안녕하세요.

금번에 나온 Kernel bug에 관련해, 운영시스템이 크래킹이 되었나 안 되었나 궁금해 하시는 분들이 있으리라
생각되는데,  제 시스템에서 나온 메세지들을 확인해 본 경과 아래 부분이 공통적으로 출력이 되었습니다.

확실치는 않지만,  아래를 참고하시어, 종합적인(?) 결론을 내리시길 바랍니다.

불확실한 유저가 많은 서버나, 혹은 의심나는 서버들은 커널을 빨리 2.4.23 으로 업그레이드 하시어서
문제발생을 최소화 하시길 권고합니다.

정말로, 쉽게 루트를 얻는 군요.
버그소스에 대해서는 공개하지 않도록 하겠습니다.

::: 실패시 :::
[root@rootman root]# grep "request_module" /var/log/*
Dec  6 21:58:43 ns202 kernel: request_module[net-pf-14]: waitpid(4907,...) failed, errno 512
Dec  6 22:00:08 ns202 kernel: request_module[net-pf-14]: waitpid(5112,...) failed, errno 512
Dec 15 10:11:49 ns202 kernel: request_module[net-pf-14]: waitpid(2362,...) failed, errno 512

::: 성공시 :::
[root@rootman root]# grep "request_module" /var/log/*
Dec 15 09:47:09 rootman kernel: request_module[net-pf-14]: waitpid(22011,...) failed, errno 1

:: Kernel Patch 되지 않는 시스템에서 ptrace를 실행하였을 경우 :: < 루트권한 획득함 >
[rootman@rootman rootman]$ ./p
[+] Attached to 27030
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x40011afd
[+] Now wait for suid shell...
sh-2.05#

:: Kernel Patch 된 시스템에서 ptrace를 실행하였을 경우 :: < 권한부여 실패 >
[rootman@rootman /rootman]# ./p
[-] Unable to attach: Operation not permitted
Killed

List of Articles
번호	제목	글쓴이	날짜	조회 수
88	/etc/passwd 구조	l2zeo	2010.03.31	34919
87	리눅스용 각종 보안도구 사이트모음	ADMINPLAY	2009.07.12	33678
86	매직키를 이용한 응급복구법	l2zeo	2010.03.31	32083
85	리눅스 보안 - 권한설정에 주의해야할 명령어들은 ?	l2zeo	2010.03.31	27743
84	[적용] iptables 접속 차단 스크립트	ADMINPLAY	2010.05.03	25641
83	Modsecurity 무료 웹방화벽 설치	ADMINPLAY	2010.09.12	24049
82	denyhosts (ssh, ftp 등의 접근 차단)	ADMINPLAY	2010.05.03	21359
81	Modsecurity-apache 2.5.X 설치중 에러 server: /usr/lib/...	ADMINPLAY	2010.09.12	21286
80	modsecurity-2.5 configure: *** apr library not found.	ADMINPLAY	2010.09.12	21132
79	php 수호신 설치	ADMINPLAY	2010.05.03	20824
78	php.ini 보안 설정	ADMINPLAY	2010.05.03	20373
77	PHP 보안관련 설정 권고사항	ADMINPLAY	2010.05.19	20208
76	해킹 당했는지 알아보는 방법	ADMINPLAY	2010.05.03	19977
75	iptables와 mod_security 연동을 통한 ip 차단	ADMINPLAY	2010.09.15	19763
74	iptables를 이용한 SSH brute force 공격방어	l2zeo	2010.05.29	19687
73	Modsecurity-apache 2.5.12	ADMINPLAY	2010.09.12	18707
72	리눅스 해킹점검 가이드	ADMIN	2008.12.10	18234
71	웹어플리케이션 보안	ADMINPLAY	2010.05.03	17148
70	보안 체킹 프로그램 - portsentry	ADMINPLAY	2010.04.27	16167
69	[그누보드관련] $_POST 는 이미 오염된(?) 변수다.	ADMINPLAY	2010.11.18	16125

글쓴이

/etc/passwd 구조

2010.03.31

34919

로그인

Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항

단축키

단축키

Who's ADMINPLAY